ISO20000信息技术服务管理体系

Q168

ISO 20000是信息业的信息服务标准，由BS 15000转变而来，目前的最近版本为ISO 20000-1:2005及ISO 20000-2:2005，信息业关心并引用它的发展。与ISO 9001相同，它是一种标准。一般公司可能较常见到的是ITIL 或ITSM的一些说明。另外一个与该标准有关的项目是ISO 27001资通安全标准，用以规范信息活动的安全管理。

Q168

1原理说明

ISO20000的原理和方法如下

第一，集成的过程方法

过程：将输入转化为输出的相互关联或相互作用的一组活动。

集成的过程是系统的识别、定义和管理组织内所使用的各个过程，特别是过程间的接口和交互作用，形成可协调运行的过程集合。举例：一个服务事件会触发事件管理过程，从而可能进一步引发问题管理过程、变更管理过程等。

第二，质量管理的PDCA方法

Q168

2背景介绍

IT组织从产生到发展的很长一段时期，一直是以搞好技术，做好技术支持配角为特征的。但今天的信息系统已不单纯是企业的技术支撑，信息化由“技术驱动”向“业务驱动”转变，IT部门的角色也逐步开始从单纯的信息技术提供者向信息服务供应者转换，职能的转变，客观上也要求信息管理向IT服务管理模式转变。

随着IT技术的发展，越来越多的组织基于IT技术构筑自己的价值链，需要IT来支持和支撑组织的运行，IT构架已经成为影响组织生存的关键要素，特别是对于银行、证券、保险、电信等高度依赖信息技术的组织。而且随着逐年IT的投入，建设了大量的软硬件系统，对客户要求的提高，对故障发生的恐惧，对投入成本逐年增加的不安，都促使现在的组织要采取措施规范IT服务的管理。

在产品生产过程中，需要遵循一定的质量控制标准（如ISO9000系列标准），可以确保产品的质量保持较高的水准（如较高的产品合格率），同时也可以降低产品制造成本。而对于服务提供（运营）过程来说，遵循相关的服务管理标准（如ISO20000）可以实现服务运营的输入（Inputs）和生产流程（Process）的标准化。只有将过程标准化了，才能保证最终的服务质量和成本符合预定的标准，才能实现过程控制，从而达到质量控制的目标。

在传统的IT管理模式下，IT部门是作为技术支持的角色被动地存在的，而在新的IT服务管理模式下，IT部门是作为一个主动的服务提供者向其客户和用户（企业的业务部门）提供赖以支撑组织业务运作的IT服务，IT部门和IT外包商往往需要向客户提供服务目录（SC）并和客户签订正式的服务级别协议（SLA）。

目前，全球的IT服务业正逐渐走向专业化和外包化。随着企业和政府组织的业务运作越来越依赖于IT，越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求，以确保提高服务质量，降低服务成本，降低因IT服务中断所导致的业务风险。

如何控制这个IT服务的整体风险（无论是内部还是外部），提高IT的整体服务水平是一个需要高度重视的问题，而ISO/IEC20000就是解决该问题的一个很好的指南。

Q168

标准特点

ISO/IEC 20000-2:2005为审核人员提供行业一致认同的指南，并且为服务提供者规划服务改善或通过ISO/IEC 20000-1:2005审核提供指导。ISO/IEC 20000-2:2005基于已被替代的BS 15000-2的。

实践准则描述了在BS 15000-1中服务管理流程的最佳实践。为以最小成本满足业务需求，客户对使用先进设施会不断提出要求，服务提供就越发显得重要了。人们已经意识到服务和服务管理对于帮助组织开源节流的重要性。

ISO/IEC 20000系列能使组织了解如何从内部和外部改进其服务质量。

由于组织对服务支持的日益依赖，以及技术多样性的现状，服务提供方有可能通过努力保持客户服务的高水准。服务供应方往往被动工作，很少花时间规划、培训、检查、调查并与客户一同工作，其结果必然导致失败。其失败就源于没有采用系统、主动的工作方式。

服务供应商也常常被要求提高服务质量，降低成本、采用更大灵活性和更快反应速度。有效的服务管理能提供高水准的客户服务和较高的客户满意度。

ISO/IEC 20000-2描述了IT服务管理流程质量标准。这些服务管理流程为组织在一定环境中开展业务提供了最佳实践指南，包括提供专业服务、降低成本、调查和控制风险。

ISO/IEC 20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理，这可以为改进服务交付基础，并有助于服务提供者建立一个服务管理框架。

ISO/IEC 20000-2为审核人员提供指南，并可为组织规划服务的改进提供帮助，以便组织通过ISO/IEC 20000-1认证。

Q168

ISO20000 与 ISO9000比较

·ISO20000 与 ISO9000 的实用范畴不同：ISO20000 只针对 IT 服务管理，在 IT 服务提供商和政府及企业的IT部门应用较多；而 ISO9000 适用各行业的质量标准，在制造企业应用得最多。

·ISO20000 与 ISO9000 的侧重点不同：ISO20000 与 IT 服务流程相关，其流程的名称和控制采用的IT 人员容易接受的术语，对 IT 系统变更的风险进行管理；而 ISO9000 与质量框架相联系。

·ISO20000关注的内容和ISO9000相比，除IT服务质量外，如还关注财务、信息安全。

·ISO20000也可以说是ISO9000在IT服务行业的具体应用和拓展。

ISO20000和ITIL的关系

·ISO20000 作为 IT 服务管理的国际标准，是从 IT 服务管理最佳实践 ITIL 中发展而来。

·ISO20000 是13个管理流程，而 ITIL 是10个管理流程（不含服务台）。

·ISO20000 新增了业务关系管理与供应商管理，对应于 ITIL 中的服务等级管理。

·ISO20000 新增的服务报告，涵盖在 ITIL 的每个管理流程之中。

·ITIL 提供最佳实践指南

·ISO/IEC20000 提供基于 ITSM 的度量

Q168

认证条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

2、申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

Q168

认证步骤

1.1 开展培训，职能分工

1.1.1 培训：

1.1.1.1 全员ISO20000基础知识培训。

培训目的 ：

了解ISO20000标准的内容；了解ISO20000标准的基本要求；了解ISO20000标准的实施办法；了解企业推行ISO20000意义和计划。

学习内容：

什么是ISO20000标准？对标准的理解；该公司推行ISO20000意义；该公司推行ISO20000的计划和要求。

1.1.1.2 骨干培训

培训目的

了解ISO20000标准的基本内容；领导在体系中的作用；了解为什么要推行ISO20000；要了解如何推行ISO20000。

学习内容

ISO20000标准的结构、原理和内容概述；重要的质量概念；实施标准的指导思想；领导在体系中的作用； IT服务管理体系认证、维护和改进的过程。

参加人员

公司总经理、副总经理、各有关部门经理和主管。

Q168

1.1.1.3 文件编写技能培训

培训目的

掌握文件编写方法；结合该公司实际如何编制有关文件。

学习内容

IT服务管理体系文件总论； IT服务管理体系编写；程序文件编写；工作文件编写；管理计划制定；管理记录。

参加人员

企业各有关部门领导、ISO20000工作小组内的成员，专职管理人员。

Q168

1.1.2 建立组织：

1.1.2.1 领导小组 ISO20000委员会

推行ISO20000，领导是关键，企业领导应作正确决策，并积极地带头参加这项工作；给出人力和物力支援；成立领导小组，主要领导都应当参与；任命管理代表，负责标准中规定的职责； 及时处理有关重大问题；组织管理评审。

1.1.2.2 工作机

为了推行ISO20000，公司应成立专门工作机构，负责全公司推行ISO20000组织协调工作，作为一个办事核心。应保证：

所有各有关部门都能参与工作小组；

有专职人员；

有骨干力量。骨干人员应对ISO20000有较全面系统的学习，最好有一定相关工作经历。

1.1.2.3 管理者代表

公司应按标准要求任命管理者代表。

应由最高管理者指定；管理者代表应是公司管理层成员；

管理者代表应具有如下职责：

确保按照标准规定建立、实施和维持IT服务管理体系要求；向管理者报告体系的执行情况，以便评审和改进管理体系；管理者代表的职责还可以包括就IT服务管理体系方面与外部机构的联络。

Q168

1.1.3 系统调查、诊断

1.1.3.1 通过诊断，达到以下目的：

现有体系与标准的符合性：找出与标准之间差距；找出形成这些差距原因。

1.1.3.2 选择合适的IT服务管理体系标准及其补充要求：

根据公司运作需要、合同要求、产品特点从ISO9000或其他标准中选择适合于企业的管理体系标准；

在此的基础上对选定标准进行必要的增删，提出对IT服务管理体系补充要求。

1.1.3.3 识别确定对服务管理体系进行修改的内容：

体系标准和要素选择；机构调整内容；体系文件清单；需新编制的文件（清单）

1.1.3.4 诊断的依据

诊断工作一般应按某一合适的IT服务管理体系标准、主要合同和本单位一些基本法规。根据各单位具体情况，诊断的依据可以归纳成如下几个方面：

管理体系标准：例如ISO20000标准；

诊断所选择的标准与申请认证的标准应是同一类型的。